El impacto de la IA en las administraciones

Una de las razones por las que este artículo puede resultar interesante a la sociedad, es que la inteligencia artificial (IA) no solo es aplicable en el ámbito legal, sino que también se podría aplicar a la vida cotidiana. Gracias al avance en la tecnología, es necesario que la Administración se contagie del impacto de la IA, y pase de ser un Estado burocrático a uno que utilice todos los medios electrónicos que tiene a su alcance, los aplique en su gestión y sea más eficiente con ello, diligente en las resoluciones administrativas.

Mariam Bataller

El proceso de cambio en la Administración debe ir acompañado de un marco normativo adecuado, basado en garantizar la seguridad jurídica, los derechos de la población y la protección del interés común.  La reciente Declaración de la presidenta von der Leyen sobre el acuerdo político sobre la próxima Ley derivada del impacto de la IA de la UE va en este sentido. Hay que recordar que la UE está invierto más de mil millones de euros al año de los programas Horizonte Europa y Europa Digital en IA investigación e innovación.

A modo de introducción respecto a la regulación, en España tenemos algunas leyes que regulan el derecho del ciudadano a relacionarse electrónicamente con la Administración Pública. Es el caso de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en su artículo 14, así como la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, donde se regulan aspectos como la sede electrónica, los portales, los servicios de identificación y firma, la interoperabilidad o el archivo electrónico.

Es sabido que toda parte positiva lleva aparejada una negativa, que son dos caras de una misma moneda. Por una parte, el impacto de la IA significa reemplazar miles de lugares de trabajo por sistemas expertos alimentados con inteligencia artificial y algoritmos, lo que producirá una reducción del personal. Además, su utilización puede provocar una serie de riesgos, como por ejemplo, la falta de regulación actual, la limitación de la autonomía personal, la posibilidad de desarrollar actuaciones discriminatorias o sesgadas, e incluso puede entrar en conflicto con la obligación que tiene la Administración de motivar su actuación. Sin embargo, y como parte positiva, se puede mencionar la optimización en el uso de los recursos humanos y materiales, y la eficiencia en la gestión de su actividad y optimización del tiempo. Parece evidente que la implantación derivada del impacto de la IA en las administraciones, comportaría una simplificación administrativa, una mejora en la relación con los ciudadanos, una racionalización de los costes y una ventaja en la prevención y la lucha contra la corrupción.

En primer lugar, debemos partir del concepto de inteligencia artificial. Para ello nos basaremos en la definición que ofrece el Alto Grupo de Expertos de la Unión Europea en el año 2019:  “Los sistemas de inteligencia artificial (IA) son sistemas de software (y en algunos casos también de hardware) diseñados por seres humanos que, dado un objetivo complejo, actúan en la dimensión física o digital mediante la percepción de su entorno a través de la obtención de datos, la interpretación de los datos estructurados o no estructurados que recopilan, el razonamiento sobre el conocimiento o el procesamiento de la información derivados de esos datos, y la decisión respeto de la acción o acciones óptimas que deben llevarse a cabo para lograr el objetivo establecido. Los sistemas en dónde hay impacto de la IA pueden utilizar normas simbólicas o aprender un modelo numérico; también pueden adaptar su conducta mediante el análisis del modo en que el entorno se ve afectado por sus acciones anteriores”.

La característica principal de estos sistemas es su dependencia de los datos. Esto es, su funcionamiento está adscrito a programas informáticos que recopilan una gran cantidad de datos, y procesan esa información para aplicarla en las diferentes actuaciones administrativas, así obtener el merecido resultado. El segundo concepto a definir es el de los algoritmos.

Según la Resolución de la APDC de 21 de septiembre de 2016, de estimación de les Reclamaciones 123/2016 i 124/2016”, que dice así: “un algoritmo, como “procedimiento de cálculo que consiste en cumplir una serie ordenada y finita de instrucciones con unos datos especificados para llegar a la solución del problema planteado” o “conjunto finito de reglas que, aplicadas de manera ordenada, permiten la resolución sistemática de un problema, que se utiliza como punto de partida en programación informática”, no deja de ser un tipo de información, expresado habitualmente en lenguaje matemático o informático”. Por tanto, y a grandes rasgos, el algoritmo sigue un procedimiento predeterminado, mediante la recopilación de una serie de informaciones, para adoptar una determinada decisión.

La definición de actuación administrativa automatizada

El artículo 41.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, define actuación administrativa automatizada como “cualquier acto o actuación realizada íntegramente a través de medios electrónicos por una Administración pública en el marco de un procedimiento administrativo y en la que no haya intervenido de forma directa un empleado público”.

A nivel europeo, podemos mencionar el Reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, y que es conocido como el Reglamento general de protección de datos. Dado la rápida evolución tecnológica y la globalización, era necesario que se regulara el derecho a la protección de los datos de carácter personal, ya que el intercambio de estos datos ha aumentado de manera significativa con el paso del tiempo. Y finalmente, podemos mencionar la “Carta de Derechos Digitales”, que sin poseer carácter normativo, se configura como un marco de referencia para guiar futuros proyectos legislativos y el desarrollo de las políticas públicas. Esta Carta recoge, entre otras cuestiones, una serie de derechos y libertades que se aplicarán a las nuevas situaciones, contextos y conflictos derivados del desarrollo y difusión de las nuevas tecnologías.

Podemos equiparar la motivación de la decisión con el principio de transparencia, recogido en la Resolución del Parlamento Europeo, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica, “que consiste en que siempre ha de ser posible justificar cualquier decisión que se haya adoptado con ayuda de la inteligencia artificial y que pueda tener un impacto significativo sobre la vida de una o varias personas; considera que siempre debe ser posible reducir los cálculos del sistema de inteligencia artificial a una forma comprensible para los humanos; estima que los robots avanzados deberían estar equipados con una «caja negra» que registre los datos de todas las operaciones efectuadas por la máquina, incluidos, en su caso, los pasos lógicos que han conducido a la formulación de sus decisiones”. Este derecho también se regula en el artículo 22.1 del Reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.

En definitiva, la Administración debe motivar sus actos, esto es, dar una respuesta o explicación sobre la decisión tomada. Este deber está intrínsecamente ligada con la prohibición de interdicción de la arbitrariedad constitucional (art. 9.3 de la Constitución Española) y con la obligación de motivar las decisiones administrativas, de acuerdo con el artículo 35.1 de la Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Para finalizar, tenemos el derecho de acceso a los algoritmos y códigos fuente. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su artículo 13, establece que “el derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679”.

Sin embargo, hay que tener en cuenta que las predicciones algorítmicas no son sinónimo de actuación administrativa automatizada. Hay casos en los que existe actuación automatizada pero no hay inteligencia artificial, o viceversa. De ahí viene la diferencia entre actos reglados y actos discrecionales. Un ejemplo de acto reglado lo tenemos en la Administración de la Seguridad Social. Existe un funcionamiento automatizado, ya que el acto se decide sin intervención humana, pero no hay inteligencia artificial o predicción algorítmica, porque el contenido de ese acto se dicta siguiendo las especificaciones y reglas previstas en la norma, esto es, solamente se constatan ciertos hechos, y no hay margen de discrecionalidad para tener en cuenta otros. Así lo establece el artículo 130 del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, que dice lo siguiente “de acuerdo con lo dispuesto en el artículo 41.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, podrán adoptarse y notificarse resoluciones de forma automatizada en los procedimientos de gestión tanto de la protección por desempleo previstos en el título III como de las restantes prestaciones del sistema de la Seguridad Social previstas en esta ley, excluidas las pensiones no contributivas, así como en los procedimientos de afiliación, cotización y recaudación”.

Un caso especialmente interesante fue la concesión del bono social eléctrico. Muchas personas que no pudieron ser beneficiarias de este tipo de ayudas que el Gobierno proporciona para pagar las facturas de la luz, aunque lo hayan solicitado y cumplido con los requisitos que la ley impone. Esta decisión se basa en un algoritmo con un código secreto, el denominado programa BOSCO, un software utilizado por las empresas eléctricas para decidir qué personas se convierten en beneficiarias de este tipo de bono. Así que la fundación CIVIO decidió presentar un recurso contencioso-administrativa porque el Consejo de Transparencia no hizo público el código de este programa. “Según su denuncia, las entrañas del programa que decide sobre estas subvenciones a la electricidad es secreto. Cuando el código fuente de un programa informático es ley, porque mediante su ejecución se generan derechos y obligaciones, el ciudadano tiene tanto derecho a inspeccionar su funcionamiento como lo tiene con respecto a cualquier otra norma jurídica”. Aquí es donde nos encontramos con el principal problema respecto del derecho de información que tienen los ciudadanos. Y es el siguiente, el Gobierno decide no mostrar el código fuente en base a la protección que ofrece el artículo 14.1 j) de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, “el secreto profesional y la propiedad intelectual e industrial”. Es decir, este artículo impone un límite al derecho de acceso a la información, ya que imposibilita a las empresas u organismos administrativos a facilitar dicha información sobre el funcionamiento del programa, puesto que éste vendría amparado por la normativa de la propiedad intelectual.

Legislación comparada

En Alemania, la regulación del procedimiento administrativo se encuentra en la “Verwaltungsverfahrensgesetz”, que en su articulo 35 establece que un acto administrativo podrá dictarse enteramente por medios automáticos cuando lo permita la ley y cuando no exista discrecionalidad.

Por otro parte, el desarrollo del Reglamento General de Protección de Datos se encuentra recogido en la “Bundesdateenschutzgesetz”, en adelante BDSG, en cuyo artículo 37, añade a las excepciones contenidas en el art. 22 de este Reglamento, lo siguiente: “(1) Además de las excepciones previstas en el artículo 22, apartado 2, letras a) y c), del Reglamento (UE) 2016/679, el derecho de conformidad con el artículo 22, apartado 1, del Reglamento (UE) 2016/679 a no ser objeto de una decisión basada únicamente en el tratamiento automatizado no se aplicará si la decisión se toma en el contexto de la prestación de servicios”.

En Francia, una de las leyes que hay que destacar respecto de la automatización de los procedimientos, es la Ley N° 78-17 del 6 de enero de 1978 relativa a la informática, los archivos y las libertades, cuyo artículo 2 prohíbe los procedimientos automatizados o semiautomatizados si tienen por objeto determinar aspectos de la personalidad. Dice así, “ninguna decisión administrativa o privada que implique una valoración del comportamiento humano podrá basarse únicamente en el tratamiento automatizado de información que permita definir el perfil o la personalidad del interesado

También podemos mencionar el Código de Relaciones entre el Público y la Administración, cuyo artículo 311.3.I establece que “una decisión individual tomada sobre la base de un tratamiento algorítmico incluye una mención explícita mediante la información al interesado. Las normas que definen este tratamiento así como las principales características de su ejecución son comunicadas por la administración al interesado si éste lo sol·licita

Y por último tenemos, el “Décret n° 2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l’objet de décisions individuelles prises sur le fondement d’un traitement algorithmique”, cuyo artículo primero establece que “Art. R. 311-3-1-2. La administración comunica a la persona que es objeto de una decisión individual adoptada sobre la base de un tratamiento algorítmico, a petición de ésta, en forma inteligible y sujeta a no infringir secretos protegidos por la ley, la siguiente información:  El grado y modo de contribución del procesamiento algorítmico a la toma de decisiones.  Los datos tratados y sus fuentes. Los parámetros de tratamiento y, en su caso, su ponderación, aplicados a la situación del interesado. y las operaciones realizadas por el tratamiento. Como vemos, si el interesado la solicita, la administración tiene la obligación de comunicar en qué medida se ha utilizado el algoritmo, su tratamiento y las operaciones que ha llevado a cabo para tomar una decisión.

Como vemos, nuestro ordenamiento ha quedado insuficiente respecto a este tema, debería modernizarse, no solo respecto a su contenido, sino también en lo referente a ofrecer soluciones a los problemas que plantea la Sociedad y al fuerte impacto de la IA y el tratamiento masivo de datos va a tener. Esperar a la transposición de la normativa europea, es un procedimiento lento, reactivo y tardío para abordar estos retos, y esto obliga a un pronunciamiento más enérgico y decidido de las administraciones españolas.